Tags:
Node Thumbnail

ปัญหาช่องโหว่ของ Java กลายมาเป็นภัยคุกคามต่อผู้ใช้เข้าจริงๆ แล้ว โดยบริษัทความปลอดภัยหลายแห่งตรวจพบว่ามีการปลอมอีเมลจากไมโครซอฟท์ (ซึ่งไมโครซอฟท์เพิ่งส่งอีเมลปรับนโยบายการใช้งานออกมาจริงๆ หลายคนแถวนี้คงได้รับ) แต่เปลี่ยนลิงก์เป็นเว็บไซต์ประสงค์ร้ายแทน

Tags:
Node Thumbnail

ในช่วงนี้ค่อนข้างจะมีการผุดขึ้นมาของกลุ่มแฮ็กเกอร์ใหม่ๆ เป็นจำนวนมาก ดังนั้นผมจึงจะขอแจ้งให้ทราบก่อนว่าผมจะเขียนเฉพาะข่าวที่ผู้อ่านส่วนมากได้รับผลกระทบนะครับ นอกนั้นจะขอยกเว้นครับ

สำหรับข่าวนี้เป็นผลงานของกลุ่มแฮ็กเกอร์ที่เรียกตัวเองว่า NullCrew เหยื่อของการโจมตีนี้ได้แก่เว็บไซต์หลักของ Sony Mobile ซึ่งได้ถูกเจาะเข้าไปและขโมยฐานข้อมูลของลูกค้าบางส่วนออกมาเผยแพร่สู่สาธารณะ โดยผู้โจมตีนั้นยังได้อ้างว่านี่เป็นเพียงหนึ่งจากแปดเซิร์ฟเวอร์ของ Sony ที่ถูกแฮ็ก และได้แอบใบ้ด้วยว่าอาจจะอยู่ในช่วงหมายเลขไอพีใกล้ๆ กันก็เป็นได้

Tags:
Node Thumbnail

หลังจากเมื่อวานที่ผมได้เขียนข่าวออราเคิลออกแพตซ์ด้านความปลอดภัยให้กับจาวาแล้วเป็นเวอร์ชัน 7 อัพเดตที่ 7 บริษัทด้านความปลอดภัย Security Explorations สัญชาติโปแลนด์ก็ได้ประกาศเกี่ยวกับช่องโหว่เพิ่มเติมที่ยังไม่ได้ถูกแก้บนแพตซ์ล่าสุด ซึ่งส่งผลให้ผู้โจมตีสามารถข้ามผ่านระบบ sandbox ของจาวาแล้วทำการรันโค้ดที่เป็นอันตรายได้

ข่าวดีก็คือช่องโหว่นี้ยังไม่ได้ใช้เพื่อโจมตีจริงจึงยังไม่ได้รับการเปิดเผยออกสู่สาธารณะ ซึ่งในขณะนี้ทางผู้ค้นพบก็ได้ส่งรายละเอียดช่องโหว่ทั้งหมดให้กับทางออราเคิลเพื่อแก้ไขแล้ว แต่คำแนะนำจากผู้เชี่ยวชาญทางด้านความปลอดภัยก็ยังเน้นย้ำให้ปิดการใช้งานจาวาเพื่อความปลอดภัยอยู่

Tags:
Node Thumbnail

หลังจากประเด็นที่ออราเคิลไม่ยอมออกแพตซ์ด้านความปลอดภัยให้กับจาวา ล่าสุดทางออราเคิลได้ยอมปล่อยจาวาเวอร์ชันที่ 7 อัพเดตที่ 7 แล้วเพื่อแก้ปัญหาด้านความปลอดภัยโดยเฉพาะ และยังครอบคลุมไปถึงช่องโหว่อื่นที่ไม่ได้เป็นข่าวจากการโจมตีโดยแฮกเกอร์จีนด้วย

นักวิจัยด้านความปลอดภัยจาก Immunity ได้กล่าวเกี่ยวกับช่องโหว่นี้ จากการรันเพื่อทดสอบพบช่องโหว่จากเดิม 2 ช่องโหว่ยังพบว่ามีอีก 2 ช่องโหว่ใหม่ แต่ทั้งหมดนี้ได้รับการแพตซ์ในเวอร์ชันนี้เป็นที่เรียบร้อยแล้ว

อย่าลืมไปอัพเดตเพื่อความปลอดภัยกันนะครับ

Tags:
Node Thumbnail

กลายเป็นประเด็นบานปลายไปเรื่อยๆ กับกรณีที่บริษัทด้านความปลอดภัยหลายแห่งแนะนำให้เลิกใช้ Java ด้วยปัญหาทางด้านความปลอดภัย จากช่องโหว่ที่ออราเคิลละเลยมากว่าครึ่งปี ตอนนี้แม้แต่ Mozilla ผู้พัฒนาเบราว์เซอร์ชื่อดังอย่าง Firefox ก็มีท่าทีคล้อยตามแล้ว

โดย Mozilla ออกมาบอกว่าผู้ใช้ที่รันปลั๊กอิน Java 1.7 นั้นมีความเสี่ยงจะถูกโจมตีจากช่องโหว่ดังกล่าว และแนะนำให้ปิดมันซะ พร้อมกับสอนวิธีการปิดมาด้วย

Tags:
Node Thumbnail

จากที่ก่อนหน้านี้บริษัทความปลอดภัยคอมพิวเตอร์หลายบริษัทออกมาแนะนำให้ผู้ใช้ปิดจาวาหรือถอดมันทิ้งไป บริษัท Security Explorations ก็ออกมาเปิดเผยรายละเอียดของคำแนะนำนี้ว่ามีที่มาจากบั๊กความปลอดภัยมากถึง 31 จุด ที่รายงานไปถึงออราเคิลตั้งแต่เดือนเมษายน และจนตอนนี้ได้รับการแก้ไขไปเพียง 2 จุด

รอบการแพตซ์จาวาของออราเคิล นั้นมีสามรอบต่อปี และรอบต่อไปคือเดือนตุลาคมปีนี้ ทางออราเคิลได้ตอบกลับทาง Security Explorations ว่าจะมีการแก้ไขปัญหา "บางส่วน" ส่วนที่เหลือต้องรอเดือนกุมภาพันธ์ปีหน้า

Tags:
Node Thumbnail

TheNextWeb ได้เขียนรายงานเชิงสรุปว่าหลาย ๆ บริษัทรักษาความปลอดภัยคอมพิวเตอร์หลายรายได้แนะนำให้ผู้ใช้ปิด Java ทิ้งหรือไม่ก็เลิกใช้มันไปเลยเพื่อความปลอดภัย หลังจากก่อนหน้านี้ที่ไมโครซอฟท์ได้เคยบอกให้ผู้ใช้ของตัวเองอัพเดต Java เป็นเวอร์ชันล่าสุดหรือไม่ก็ลบมันทิ้งเสีย

คำเตือนทั้งหมดนี้ออกมาหลังจากที่ Oracle ยังไม่ยอมปล่อยอัพเดตเพื่อปิดช่องโหว่ของ Java 7 (เวอร์ชัน 1.7) บนทุกแพลตฟอร์ม ที่เปิดช่องให้การโจมตีประเภท remote access tool (RAT) ติดตั้งตัวเองบนเครื่องลูกข่ายได้ และทุกเบราว์เซอร์ที่มีปลั๊กอินของ Java ก็ถือว่าเป็นกลุ่มเสี่ยงที่อาจตกเป็นเป้าของการโจมตีนี้

Tags:
Node Thumbnail

ต่อเนื่องจากข่าว Dropbox ออกมายอมรับว่าถูกแฮก พร้อมพัฒนาระบบ Two-step verification ในชื่อ Two-factor ที่ต้องการยืนยันตัวจากผู้ใช้มากกว่าแค่การล็อกอินเพียงอย่างเดียว ตอนนี้ระบบที่ว่าเปิดให้ใช้งานได้แล้วครับ

วิธีการเปิดใช้งานระบบดังกล่าว ก่อนอื่นต้องลงตัว client บนเดสก์ท็อปรุ่น beta ตัวใหม่เสียก่อน (ดาวน์โหลดที่นี่) หลังจากนั้นจึงเข้าไปเปิดใช้ได้จากหน้า Settings > Security และเลือกเปิดใช้งาน (เข้าได้จากที่นี่)

Tags:
Node Thumbnail

วันนี้คุณพูนสุข พูนสุขเจริญ หนึ่งในทีมทนายของคุณอำพล (อากง SMS) ได้โพสเอกสารความเห็นในคดีของคุณอำพล มันเป็นเอกสารที่เตรียมไว้สำหรับการยื่นอุทธรณ์ พร้อมกับเตรียมให้ผู้เชี่ยวชาญจาก Security Research Labs (SR Labs) มาขึ้นศาลเป็นพยานแต่สุดท้ายคุณอำพลตัดสินใจไม่ยื่นอุทธรณ์เพื่อขออภัยโทษแทน

เอกสารฉบับนี้ออกโดยดร. Karsten Nohl หัวหน้านักวิทยาศาสตร์ของบริษัท สำหรับ SR Labs นี้เป็นบริษัทที่นำเสนองานวิจัยเรื่องการปลอมแปลงหมายเลขโทรศัพท์เพื่อส่ง SMS ในยุโรป ที่งาน 29C3 เมื่อปลายปีที่แล้ว

Tags:
Node Thumbnail

นับตั้งแต่มัลแวร์ Flame หลุดออกมาสู่อินเทอร์เน็ต วงการความปลอดภัยคอมพิวเตอร์ก็เปลี่ยนไปจากที่เคยต้องระวังภัยของแฮกเกอร์รายบุคคลที่มุ่งสร้างความเสียหายแบบไม่เจาะจง และมักใช้ช่องโหว่เพียงหนึ่งหรือสองอย่างเพื่อสร้างไวรัสมาเป็นการต่อสู่กับหน่วยงานขนาดใหญ่ที่มีการวางแผนรัดกุม มีกระบวนการพัฒนาไวรัสเป็นระบบ โดยตัวล่าสุดคือมัลแวร์ Gauss ที่เชื่อกันว่าพัฒนาโดยทีมที่มีความเกี่ยวข้องกับทีมพัฒนา Flame

Tags:
Node Thumbnail

บริษัทความปลอดภัย McAfee (ปัจจุบันเป็นบริษัทลูกของอินเทล) ออกซอฟต์แวร์ McAfee Mobile Security เวอร์ชันใหม่บน Android โดยเพิ่มฟีเจอร์สำคัญคือการป้องกันข้อมูลส่วนตัวของผู้ใช้ จากกรณีที่แอพต่างๆ แอบส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของผู้สร้าง

เทคโนโลยีของ McAfee เรียกว่า App Alert จะคอยเช็ค URL ที่แอพติดต่อด้วยกับฐานข้อมูลของ McAfee เพื่อดูว่าเข้าข่ายการแอบส่งข้อมูลกลับโดยไม่ขออนุญาตหรือไม่ ซึ่ง McAfee โฆษณาว่าช่วยให้ผู้ใช้รับทราบว่าข้อมูลของตัวเองยังอยู่ดีหรือเปล่า และระบบแจ้งเตือนของ McAfee นั้นเข้าใจง่ายกว่าการอ่านคำขอสิทธิอนุญาตของ Android ที่มีมากกว่า 120 แบบ (แถมคนส่วนใหญ่ก็ไม่อ่านกัน)

Tags:
Node Thumbnail

นี่อาจเป็นครั้งแรกของภาพยนตร์ว่าด้วยเรื่องของแฮกเกอร์ซึ่งมีแฮกเกอร์มารับบทเป็นตัวเอกจริงๆ Hackitat เป็นเรื่องราวเกี่ยวกับอุดมการณ์ แรงขับเคลื่อน และเหตุผลของบุคคลที่อยู่เบื้องหลังการโจมตีทางไซเบอร์ที่มีจุดมุ่งหมายทางการเมือง

Tags:
Node Thumbnail

แนวทางการจ่ายเงินรางวัลเพื่อเรียกให้แฮกเกอร์มาช่วยกันหาบั๊กความปลอดภัยของ Chrome เป็นแนวทางที่กูเกิลใช้ในวงกว้างเป็นรายแรกๆ และประสบความสำเร็จอย่างสูง ในงาน Hack In The Box ที่มาเลเซียปีนี้กูเกิลจึงทำแนวเดิมอีกครั้งในการแข่ง Pwnium 2 โดยแบ่งการบุกรุกเป็นสามระดับ คือ บั๊กของ Chrome อย่างเดียวจ่าย 60,000 ดอลลาร์, บั๊กจาก Chrome ประกอบกับบั๊กของวินโดวส์จ่าย 50,000 ดอลลาร์, และบั๊กจากผู้ผลิตรายอื่นเช่น Flash จ่าย 40,000 ดออลาร์ แต่ทั้งหมดในงานจะจ่ายไม่เกินสองล้านดอลลาร์ ซึ่งคงไม่มีปัญหาอะไร เพราะงานเมื่อต้นปีที่ผ่านมา กูเกิลจ่ายไปเพียง 120,000 ดอลลาร์เท่านั้น

Tags:
Node Thumbnail

Activision Blizzard ออกแถลงการณ์ยืนยันว่าเว็บไซต์ Battle.net ถูกแฮ็กจริง โดยข้อมูลที่หลุดออกไปมีดังนี้

  • อีเมลของผู้ใช้ Battle.net ในทุกภูมิภาคของโลกยกเว้นจีน
  • ข้อมูลของผู้ใช้ในเซิร์ฟเวอร์ของอเมริกาเหนือ (ซึ่งให้บริการผู้เล่นเกมจากเอเชียตะวันออกเฉียงใต้ด้วย) ได้แก่ รหัสผ่านที่ถูกเข้ารหัสแล้ว คำตอบสำหรับคำถามรีเซ็ตรหัสผ่าน ข้อมูลเกี่ยวข้องกับมือถือและการล็อกอินผ่านโทรศัพท์

Blizzard ประเมินว่าข้อมูลที่หลุดไปไม่เพียงพอต่อการเจาะบัญชีของผู้ใช้ แต่ก็แนะนำให้ผู้ใช้ Battle.net เปลี่ยนรหัสผ่านทันที ส่วนข้อมูลบัตรเครดิตไม่ได้รับผลกระทบใดๆ

รายละเอียดอ่านได้จาก Battle.net

Tags:
Node Thumbnail

Chrome รวมเอา Flash Player เข้ามาในตัวให้นานแล้ว แต่ที่ผ่านมา Flash ใน Chrome ก็ยังทำงานในฐานะปลั๊กอิน NPAPI ตามปกติ จึงไม่สามารถใช้ฟีเจอร์ด้านความปลอดภัยแบบ sandbox ของ Chrome ได้

Tags:
Node Thumbnail

สืบเนื่องจากเหตุการณ์นักข่าวของ Gizmodo ถูกขโมยบัญชี iCloud ซึ่ง Wired เปิดเผยต่อมาว่าแฮกเกอร์ใช้วิธีการโทรศัพท์เข้าไปที่แผนกบริการหลังการขายของแอปเปิล โดยตอบคำถามพื้นฐานอีกเล็กน้อยก็สามารถขอรับรหัสผ่านใหม่ได้แล้ว ล่าสุดคุณ Natalie Kerris โฆษกของแอปเปิลก็ชี้แจงมาดังนี้ครับ

Tags:
Node Thumbnail

จากเรื่องนักข่าว Gizmodo ถูกขโมยบัญชี iCloud ซึ่งขั้นตอนหนึ่งที่ใช้ในการแฮ็กคือ การโทรไปขอเพิ่มหมายเลขบัตรเครดิต (ปลอม) และอีเมลสำรองผ่านทางระบบบริการลูกค้าของ Amazon เพื่อหาเลขรหัสสี่ตัวท้ายของบัตรเครดิตจริง และนำไปใช้รีเซ็ทรหัสผ่านของ iCloud

ทาง Amazon ยังไม่มีการออกมาชี้แจงในเรื่องนี้ แต่ทาง Wired ได้ลองโทรไปทดสอบช่องโหว่นี้และพบว่าไม่สามารถขอเปลี่ยนข้อมูลส่วนตัวทางโทรศัพท์ได้อีกแล้ว

ถึงจะออกแนววัวหายล้อมคอกไปหน่อย แต่อย่างน้อยก็ช่วยให้ลูกค้าสบายใจขึ้นได้บ้าง

ที่มา - Wired

Tags:
Node Thumbnail

เว็บ Wired ได้ออกมารายงานขั้นตอนอย่างละเอียดของแฮกเกอร์ที่ขโมยบัญชี iCloud ของนักข่าว Gizmodo แล้วสั่ง remote wipe ข้อมูลทั้งหมดบน iPhone, iPad และ MacBook Air จนเกลี้ยง จากนั้นก็แฮกเข้าไปในอีเมลและทวิตเตอร์ของนักข่าวคนดังกล่าวต่ออีก

Tags:
Node Thumbnail

เป็นข่าวที่ค่อนข้างใหญ่โตในต่างประเทศครับ เมื่อทวิตเตอร์ของเว็บไซต์ข่าวไอทีชื่อดัง Gizmodo ได้ถูกแฮกเกอร์ที่เรียกตัวเองว่า Clan Vv3 ยึดครองและทำการทวีตเหยียดสีผิวเมื่อวันศุกร์ที่ผ่านมา

Tags:
Node Thumbnail

ช่วงหลัง Huawei ถูกโจมตีอย่างมากในประเด็นความปลอดภัย นับแต่ซอฟต์แวร์ที่มีปัญหาและไม่ได้แพตซ์อย่างทันท่วงที ไปจนถึงความสัมพันธ์ระหว่างบริษัทกับกองทัพจีน งานนี้ Huawei จึงเลือกเปิดศูนย์ตรวจสอบความปลอดภัย เพื่อไว้ทำงานร่วมกับ GHHQ (Government Communications Headquarters - หน่วยงานข่าวกรองของอังกฤษ) เพื่อให้ตรวจสอบว่าอุปกรณ์ที่ Huawei จะขายให้รัฐบาลอังกฤษนั้นมีความปลอดภัยเพียงพอที่จะใช้ในหน่วยงานได้

Huawei มีอิทธิพลในตลาดสูงขึ้นมากในช่วงหลัง โดยรายได้รวมในปี 2011 นั้นในตลาดโทรคมนาคม (ฝั่งผู้ให้บริการ) สูงเป็นอันดับสองเป็นรองเพียง Ericsson เท่านั้น และแนวโน้มก็ชัดเจนว่า Huawei กำลังจะขึ้นเป็นอันดับหนึ่งในไม่ช้า

Tags:
Node Thumbnail

ขออนุญาตเขียนข่าวนี้รวมกับข่าวช่องโหว่ในตอนแรกด้วยเลยนะครับ เรื่องมีอยู่ว่าเมื่อช่วงต้นเดือนที่ผ่านมา Dave Airlie วิศวกรซอฟต์แวร์ที่ทำงานอยู่กับ Red Hat ฝ่ายกราฟิก ได้แจ้งช่องโหว่ของไดรเวอร์ NVIDIA บนลินุกซ์ โดยในรายละเอียดบอกว่าเขาไม่ได้เป็นผู้ค้นพบช่องโหว่นี้ แต่เขาได้รับช่องโหว่นี้จากบุคคลนิรนามรายนึงซึ่งอ้างว่าได้ส่งช่องโหว่นี้กับให้ทาง NVIDIA แล้ว แต่ไม่ได้รับการตอบสนองใดๆ เลย บุคคลนิรนามที่ค้นพบช่องโหว่แสดงความต้องการให้ช่องโหว่นี้ได้รับการแพตซ์โดยเร็ว เขาจึงจำเป็นต้องประกาศช่องโหว่นี้ออกสู่สาธารณะ (mailling list)

Tags:
Node Thumbnail

กลุ่ม Security Development Lifecycle (SDL) ของไมโครซอฟท์ออกเครื่องมือชื่อ Attack Surface Analyzer 1.0 หน้าที่ของมันก็ตามชื่อครับ เอาไว้สแกนดูว่าระบบคอมพิวเตอร์ที่เป็นวินโดวส์ของเรามีช่องโหว่อะไรบ้างที่อาจเป็นอันตรายต่อการโจมตีจากข้างนอก

Attack Surface Analyzer ออกแบบมาเป็นเครื่องมือช่วยเหลือแอดมินระบบคอมพิวเตอร์ขององค์กร และนักพัฒนาซอฟต์แวร์ที่จะทดสอบดูว่า หลังติดตั้งซอฟต์แวร์ตัวใดตัวหนึ่งลงไปบนวินโดวส์แล้ว ระบบมีช่องโหว่อะไรเพิ่มขึ้นมาบ้าง ช่วยให้กระบวนการพัฒนาซอฟต์แวร์อย่างปลอดภัยทำได้ง่ายขึ้น

Tags:
Node Thumbnail

Huawei เป็นแบรนด์ที่จีนที่เริ่มบุกตลาดระดับผู้ให้บริการได้มากขึ้นเรื่อยๆ จากการตัดราคาคู่แข่งอย่างหนักในช่วงหลัง แต่ที่งาน DefCon นักวิจัยด้านความปลอดภัย Felix Lindner ก็ขึ้นเวทีชำแหละปัญหาความปลอดภัยของสินค้า Huawei ทีละจุดอย่างมาก

การนำเสนอของ Felix (PDF) ไล่ประเด็นนับแต่กระบวนการจัดการกับปัญหาความปลอดภัย โดยเขาชี้ว่า Huawei ไม่มีการรายงานและคำแนะนำด้านความปลอดภัยออกมาสู่สาธารณะ ไม่มีการอัพเดตตามรายการคำแนะนำความปลอดภัยเหล่านั้น โดยลูกค้าต้องติดต่อเป็นกรณีไปเพื่อขออัพเดตด้านความปลอดภัย

Pages